Esta técnica de inyección de código puede atacar potencialmente todas las versiones de Windows

¿Adivina qué? Si posees una PC con Windows, que está completamente parcheada, los atacantes aún pueden hackear su computadora.

¿No es esto preocupante? Bueno, quizá para muchos no.

Inyección de código malicioso

Los investigadores de seguridad han descubierto una nueva técnica que podría permitir a los atacantes inyectar código malicioso en cada versión del sistema operativo Windows de Microsoft, incluso Windows 10, de una manera que ninguna herramienta anti-malware existente puede detectar, amenazando a millones de PC en todo el mundo.

Apodado » AtomBombing «, la técnica no aprovecha ninguna vulnerabilidad, pero abusa de una debilidad de diseño en Windows.

El nuevo ataque de inyección de código ayuda al Malware a evitar las medidas de seguridad

El ataque AtomBombing abusa de las Tablas Atom a nivel de sistema, una característica de Windows que permite que las aplicaciones almacenen información sobre cadenas, objetos y otros tipos de datos para acceder de forma regular.

Y dado que Atom son tablas compartidas, todo tipo de aplicaciones pueden acceder o modificar datos dentro de esas tablas.

Atom table

“Una atom table es una tabla definida por el sistema que almacena cadenas e identificadores correspondientes. Una aplicación coloca una cadena en una tabla y recibe un número entero de 16 bits, llamado átomo , que puede usarse para acceder a la cadena. Una cadena que se ha colocado en una tabla se llama nombre de átomo .

El sistema proporciona varias tablas de átomos. Cada tabla de átomos tiene un propósito diferente. Por ejemplo, las aplicaciones de intercambio dinámico de datos (DDE) utilizan la tabla de átomos global para compartir cadenas de nombre de elemento y nombre de tema con otras aplicaciones. En lugar de pasar cadenas reales, una aplicación DDE pasa átomos globales a su aplicación asociada. El compañero usa los átomos para obtener las cadenas de la tabla de átomos.”

AddAtom. GlobalAddAtom. Modo de usuario. InternalAddAtom. NTDLL. RtlAddAtomToAtomTable. KERNEL32. Subsistema de usuario. WIN32K. NTOSKRNL. Modo Kernel. NtAddAtom. UserGlobalAtomTableCallout. RtlAddAtomToAtomTable. UserAddAtom.

Un equipo de investigadores de la compañía de seguridad cibernética EnSilo , que ideó la técnica AtomBombing, dice que esta falla de diseño en Windows puede permitir que el código malicioso modifique las tablas de átomos y engañe a las aplicaciones legítimas para que ejecuten acciones maliciosas en su nombre.

Una vez inyectado en procesos legítimos, el malware facilita a los atacantes eludir los mecanismos de seguridad que protegen dichos sistemas de infecciones de malware.

AtomBombing puede realizar ataques de navegador MITM, descifrar contraseñas y más.

Además de evitar las restricciones de nivel de proceso, la técnica de inyección de código AtomBombing también permite a los atacantes realizar ataques de navegador man-in-the-middle (MITM), Aqui puedes consultar el código, tomar capturas de pantalla de forma remota de escritorios de usuarios específicos y acceder a contraseñas cifradas almacenadas en un navegador.

Google Chrome cifra sus contraseñas guardadas utilizando la API de protección de datos de Windows (DPAPI), que utiliza datos derivados del usuario actual para cifrar o descifrar los datos y acceder a las contraseñas.

Por lo tanto, si se inyecta malware en un proceso que ya se está ejecutando en el contexto del usuario actual, es fácil acceder a esas contraseñas en texto sin formato.

Además, al inyectar código en un navegador web, los atacantes pueden modificar el contenido que se muestra al usuario.

«Por ejemplo, en un proceso de transacción bancaria, al cliente siempre se le mostrará la información de pago exacta que el cliente pretendía a través de pantallas de confirmación», dijo Tal Liberman, líder del equipo de investigación de seguridad de enSilo.

«Sin embargo, el atacante modifica los datos para que el banco reciba información de transacciones falsas a favor del atacante, es decir, un número de cuenta de destino diferente y posiblemente la cantidad».

No hay parche para AtomBombing Attack

La compañía dijo que todas las versiones del sistema operativo Windows, incluido el nuevo Windows 10 de Microsoft, se vieron afectadas. ¿Y qué es aún peor? No hay solución en este momento.

«Desafortunadamente, este problema no puede ser parcheado ya que no se basa en código roto o defectuoso, sino en cómo están diseñados estos mecanismos del sistema operativo», dijo Liberman.

Dado que la técnica AtomBombing explota las funciones legítimas del sistema operativo para llevar a cabo el ataque, Microsoft no puede solucionar el problema sin cambiar cómo funciona todo el sistema operativo. Esta no es una solución factible, por lo que no existe la noción de un parche.


¿Quieres aprender a programar de manera profesional?

 

Te invitamos a formar parte de Azul School donde vas a tener acceso a cursos profesionales con certificado. Además tienes acceso a una red social de programadores donde puedes conocer gente de tu ciudad o país.

 

Si quieres acceder a todas las funciones te regalamos un descuento del 75% usando este cupón (no vas a encontrar este descuento en ningún otro lugar) Cupón: azulweb y lo puedes cambiar aquí: Haz clic aquí para cambiar el cupón del 75%.

 

También puedes probar la plataforma de forma gratuita y obtener un curso gratuito aquí: Haz clic aquí para probar la plataforma de forma gratuita.


Ernesto Mota

Ernesto Mota

Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

También te podría gustar...

Deja una respuesta

Tu dirección de correo electrónico no será publicada.